A proposito del trojan di Stato, le investigazioni altamente tecnologiche ci portano verso una “costituzione infinita”?

Il nuovo captatore informatico, come disciplinato attualmente, tiene acceso il dibattito sul rapporto tra sicurezza e libertà di partecipare alla società virtuale. Si ha bisogno della libertà per impedire all'Autorità di abusare dei suoi poteri e si ha altrettanto bisogno dello Stato per impedire l'abuso della libertà.

Il core area of private life deve rappresentare un argine solido contro le derive totalitarie, sempre possibili quando si giustifica una sorveglianza di Stato a tutti i costi.

L'agente intrusore informatico è il più potente “agente segreto” in forza alle procure che svolgono indagini nell'ambito di un procedimento penale. Preferisco qui avvalermi della locuzione “agente intrusore informatico” anziché di quella, molto più conosciuta, di ”captatore informatico”, poiché quest'ultima risulta limitativa rispetto alle funzioni potenzialmente sconfinate di cui esso è dotato.

Vado a spiegare.

Nel mondo digitale con il nome di captatore informatico, comunemente noto come Trojan horse, solitamente, si indica un virus che conquista i diritti di amministrazione del dispositivo in cui viene inoculato, assumendone il controllo totale.

I trojan sono virus piuttosto comuni che agiscono installando, sui dispositivi in cui sono inoculati, software che ne aggirano la protezione, per potervi accedere da remoto, o che danneggiano e controllano i dati senza il consenso dell'utente.

I trojan di Stato (quelli cioè inoculati per volontà dell'Autorità giudiziaria) possono funzionare in due modi differenti: sotto forma di online search oppure come online surveillance. Nel primo caso si tratta di programmi che permettono di copiare i dati, tutti o in parte, presenti sul dispositivo infettato. Nel secondo, invece, si intende l'attività di acquisizione del flusso informatico che passa attraverso le periferiche – schermo, microfono, tastiera, webcam.

A fronte di tale capacità invasiva dello strumento in esame, si comprende come la locuzione scelta dalla giurisprudenza di legittimità degli ultimi anni (captatore giustappunto) sia riduttiva perchè parametrata alle sole intercettazioni di comunicazioni.

Si è appena detto, invece, che grazie al “malicius software” di cui si tratta, la gestione da remoto del dispositivo target consente non solo di intercettare (articoli 266, commi 1 e 2, c.p.p. e 266-bis c.p.p.), ma anche di geolocalizzare, di perquisire, di sequestrare, di cancellare i contenuti presenti, violando, così, diverse norme nazionali e sovranazionali in tema di privacy, riservatezza, domicilio (virtuale) e rischiando, pure, di compromettere la scena del crimine.

E se la giurisprudenza non è stata precisa sulla terminologia, non di meglio ha fatto il legislatore.

Fare chiarezza sulla terminologia da usare non è un mero esercizio intellettuale, ma una necessaria perimetrazione del campo di indagine; e ciò anche perchè quello informatico è un settore in cui il diritto deve fare i conti con la velocità del progresso tecnologico.

Ritengo, quindi, che definire il malware delle investigazioni di Stato “agente intrusore informatico” sia più rispondente alla realtà delle cose: il virus inoculato “agisce” perchè non capta semplicemente comunicazioni tra presenti o comunicazioni telefoniche, ma audioregistra, videoregistra, perquisisce, sequestra, interagisce con la tastiera del dispositivo target, pedìna, traccia costantemente i dati presenti sul target (movimenti bancari, navigazione internet, telepass etc.). Esso agisce come un “intruso” perchè viene iniettato nascostamente dentro il dispositivo che si vuole controllare; l'agente è intrusore perchè è indebitamente inserito nell'ambiente che si indaga.

Insomma, il c.d. captatore - dentro il device - si muove esattamente come il tecnico che lo guida da remoto gli comanda di fare: agisce come longa manus dell'operatore.

Ciò premesso, il termine captatore, utilizzato nel prosieguo, indica lo strumento di indagine previsto dalla novella legislativa.

Ho anticipato che il Legislatore non ha avuto il coraggio di andare oltre le determinazioni della corte di legittimità, intendendo il trojan investigativo come un mero strumento di intercettazione – una sorta di supercimice ipertecnologica – senza però considerare il suo potenziale praticamente illimitato.

E se, a onor del vero, la nuova disciplina delle intercettazioni ha cercato di regolamentare in modo analitico le intercettazioni di conversazioni e comunicazioni, purtroppo non ha sciolto alcuni nodi fondamentali che hanno allarmato il mondo accademico.

Sulla riforma Orlando è stato scritto tanto e molto bene, qui mi limito a richiamare lo stato dell'arte delle critiche (tutte costruttive) alle nuove disposizioni normative.

Certamente il primo dei punti in discussione resta il livello di competenza e di conoscenza che deve possedere chi è chiamato a occuparsi dei captatori di cui alla riforma. La miglior dottrina avverte che, costituendo la segretezza il vantaggio competitivo del captatore, in tanti possono conoscere il funzionamento del captatore in linea teorica, ma non di “quel determinato captatore” usato dalla Polizia Giudiziaria.

Infatti, si tratta di un programma segreto per definizione: nella sua struttura, nelle sue caratteristiche, nel suo codice sorgente. Segreta è anche la sua origine, la sua produzione, la sua attitudine ad arrivare ad un livello tale di privilegi da poter interagire con l'hardware come fosse un root. Inoltre, l'intento con cui viene programmato è peculiare per ogni singola indagine e per ogni singolo indagato, il software viene personalizzato per adattarlo alle esigenze di indagine. Ecco perchè non tutti possono conoscere le funzioni di un determinato captatore e, di conseguenza, le sue potenziali capacità intrusive.

Da qui si ha che controllare ogni singola funzione del malware (come, ad esempio, certificare, come si legge nella riforma, attivazioni di nuove funzioni durante le indagini, effettuare un report finale sulle attività svolte, e via dicendo) porterebbe ad una eccessiva burocratizzazione del mezzo di ricerca, in antitesi logica con la funzione tipica della captazione informatica.

Il secondo punto dolente attiene al non trascurabile profilo del rispetto del contraddittorio in questa fase.

Ho già avuto modo di dire -sempre in questa rivista- quanto sia importante, ai fini delle garanzie che proteggono il giusto processo, fare in modo che la difesa abbia la possibilità di verificare e testare le attività ed i risultati delle indagini digitali.

Sulla riproducibilità/verificabilità dei dati catturati ci si aspetta che il disciplinare tecnico sia davvero minuzioso e preveda dei modi efficacemente idonei alla verificazione a priori ed a posteriori delle diverse attività in ogni sua singola funzione.

L'esigenza appena detta nasce dall'essenza stessa degli strumenti di hacking, misure potentissime che sbriciolano in modo disarmante recinzioni un tempo considerate inviolabili e protette dalla riserva di legge: la vita privata, la vita professionale, dati sensibili anche di terze persone, privacy e riservatezza di comunicazioni tra presenti e telefoniche.

Lo statuto di difesa della persona sottoposta ad indagini deve sempre costituire l'argine e, allo stesso tempo, il punto di partenza della legiferazione in tema di mezzi di ricerca della prova, tanto più che il progresso tecnologico impone al giurista di adeguarsi ai tempi formandosi nelle pratiche informatiche per dialogare in modo competente con i tecnici che producono i nuovi mezzi di ricerca.

Il sistema è davvero complesso e aperto ed è, comunque, degno di plauso che la riforma abbia iniziato un percorso di regolamentazione di una materia così sfaccettata, ma bisogna tenere la guardia alta, come suggeriscono diversi studiosi, e non accontentarsi di richiami normativi a concetti importanti, ma generici, come il “luogo” delle intercettazioni informatiche. Concetto questo ripetuto costantemente nell'innesto Orlando con chiaro intento garantista, ma che non consente di dibattere realmente sulla capacità intrusiva del captatore, dato che la riforma parla solo di dispositivi portatili.

Occorre pretendere che il disciplinare ponga particolare attenzione sul diritto del difensore a partecipare alle procedure di trust delle operazioni svolte con gli agenti intrusori; che espliciti chiaramente cosa avviene quando si utilizzano gli agenti intrusori; che si predispongano delle automatiche “valvole di salvezza” del sistema che segnalino attività oggetto di futura ed eventuale contestazione.

I provvedimenti contro il terrorismo non devono compromettere gli standard per la protezione dei diritti fondamentali che caratterizzano le società democratiche. Un elemento fondamentale della lotta al terrorismo è costituito dall'impegno per la salvaguardia di quei valori fondamentali che costituiscono la base di ogni società democratica, ossia proprio i valori che quelli che praticano l ́uso della violenza tentano di distruggere.

Le parole appena dette sono prese da un parere reso dai Garanti europei per la privacy nel 2000, agli albori di quel habeas data che si può individuare nel recentissimo Regolamento europeo sulla protezione dei dati personali. Si è sempre (da quando è scoppiata la rivoluzione digitale) affrontato il rapporto sicurezza-privacy, si è da subito messo in evidenza che la sfida del nuovo millennio sarebbe stata quella di trovare un equilibrio giuridicamente appagante, legittimo e tutelante di due interessi pubblicistici così pesanti. Dico due perchè ciò che pertiene alla persona va inteso come avente rilevanza pubblica, laddove rappresenta esplicazione dell'individuo, estensione del suo autodeterminarsi (art. 2 Cost., art. 8 C.e.d.u.). In questo senso il bilanciamento -che deve democraticamente studiarsi in sede parlamentare- deve fare i conti con due esigenze percepite dai consociati in modo diverso: da un lato, la sicurezza spinge il cittadino a piegarsi alla dimensione dell'uomo di vetro, perchè si deve sacrificare la propria sfera privata a vantaggio della prevenzione e repressione dei reati; da un altro, il cittadino pretende che il suo corpo, non più solo di carne ed ossa, sia protetto da “sguardi indiscreti”.

Nell'ambito delle indagini dell'era digitale sembrerebbe impossibile soddisfare l'equilibrio tra esigenze statali sicuritarie e esigenze del singolo alla tutela delle libertà attinenti alla persona.

Si legge spesso delle visioni distopiche della letteratura del secolo scorso in tema di intelligenze artificiali e, in generale, del sopravvento delle macchine sulle attività umane. Effettivamente oggi si può affermare che le paure paventate da Orwell si sono realizzate tutte.

In alcuni Paesi più che in altri, sicuramente. Basti porre mente all'isola di Singapore, in cui, in nome di alti valori socialmente qualificati (efficienza, armonia delle relazioni, sicurezza collettiva etc.) si vive come nel 1984 orwelliano, appunto.

Oramai la globalizzazione delle reti è avvenuta e non possiamo fare finta che il progresso non ci abbia portati a questo punto. Ci dobbiamo fare i conti e noi giuristi dobbiamo farlo più di altri, dobbiamo imparare ad adeguarci ai tempi (formandoci a dovere in materia) senza dimenticare, però, che nessuna nuova tecnologia può scardinare il sistema delle libertà riconosciute dalle carte fondamentali; “riconosciute” proprio perchè ritenute sempre esistite e immanenti alla persona fin dalla sua nascita e non costituite ex novo dallo Stato.

Ma accettare il fatto che si debba fare i conti con questa realtà non significa accontentarsi di tiepidi passi avanti del legislatore nazionale -il quale si muove davvero solo quando sollecitato dalla legislazione europea-, bensì guardare con fiducia alle cooperazioni di studio che prendono il problema molto seriamente e in modo competente.

Intendo dire che se facciamo un paragone tra la sicurezza informatica sul versante della privacy del consumatore nel marketing e la privacy dell'indagato nel procedimento penale troviamo che per il primo, già da anni, è iniziato un percorso volto alla sua massima tutela (penso all'Internet Bill of Rights o al G.D.P.R., tra gli altri), mentre per il secondo solo da un anno si è messo mano ad una disciplina (almeno nelle intenzioni del legislatore) organica. Si evidenzia, cioè, che la protezione del dato riservato ceduto consensualmente sia stata più sentita politicamente di quella del dato riservato del sottoposto ad indagine, poiché facilmente sacrificabile a fronte di esigenze sicuritarie.

Non si può legittimamente pensare a una costituzionalizzazione della libertà della persona digitale? Un noto studioso affermò che noi siamo i nostri dati, le nostre informazioni, quasi a provocare sul concetto di persona utilizzato dalle costituzioni nazionali e convenzioni internazionali per individuare diritti umani preziosamente presidiati.

Mi pare che i tempi siano più che maturi per parlare di un diritto di libertà informatica coperto da norme dedicate; ciò che, forse, manca ancora è la compresenza e complementarietà dei soggetti che devono sedersi al tavolo per parlare della sua enucleazione.

Anche se, a dire il vero, in Italia, la dottrina della libertà informatica si affacciò fin dagli anni '80, come riflessione teorica sul rapporto tra protezione della riservatezza e gestione delle banche dati.

Stando ancora al paragone precedente (privacy nel consumo e privacy nel codice di procedura penale) non si può pensare di uniformare il metodo: se è vero, infatti, che, conformemente alla natura della rete, il riconoscimento di princìpi e diritti, nell'ambito privatistico, non può essere calato dall'alto, nel settore delicatissimo dell'impatto tecnologico sul tema delle libertà, la costruzione delle garanzie non può essere orizzontale.

Essa dovrà essere, invece, il risultato di un serio dibattito tra esperti giuristi e tecnici informatici portato all'esame del Parlamento che nella sua sede naturale deciderà come adeguarsi ai tempi mutevoli, come se dovesse, in un moto perpetuo, tendere ad una “costituzione infinita”.

Sebbene John Perry Barlow, nel lontano 1996, aprisse la sua Dichiarazione d'indipendenza del Cyberspazio affermando che il più grande spazio pubblico che l'umanità abbia conosciuto, la rete che avvolge l'intero pianeta, non avesse sovrano, oggi più che mai - per lo meno sul piano penal e- si deve respingere tale visione. La sovranità, infatti, si deve individuare nel fondamento dei diritti fondamentali, anzi umani e nella procedura legislativa costituzionale che porta al corretto dibattito sulle politiche criminali.

La sovranità così intesa ha il compito, nello specifico settore delle investigazioni mediante captatore, di coniare previsioni legali che assicurino una regolamentazione del controllo proporzionata rispetto ai fini perseguiti attraverso la sua attivazione. Il nostro legislatore sarà, quindi, in linea, non solo con la Corte costituzionale tedesca (che si è pronunciata recentemente sul nuovo diritto alla c.d. integrità dei sistemi informatici), ma anche con la ratio del par. 2 dell'art. 8 della Convenzione Edu, il quale condiziona la legittimità delle ingerenze dell'autorità pubblica nella vita privata dei singoli non solo all'esistenza di un'espressa base legale (imponendo, peraltro, anche il rispetto di determinati standard qualitativi della previsione legale, specie con riguardo alla foreseeability dei suoi esiti applicativi), ma anche ad un riscontro positivo in ordine all'effettiva necessità di tali interferenze.

La migliore via percorribile suggerita dagli accademici e dagli insegnamenti della Corte e.d.u. è quella della verifica rigorosa della proporzionalità diretta fra il grado di intrusività della specifica misura e il livello di intensità delle garanzie legali.

Penso alla previsione dell'uso dell'agente intrusore informatico solo per una cerchia ristretta di reati e a cautele procedurali idonee.

Da un altro angolo visuale, poi, si dovrebbe incentivare una verifica della compatibilità dello strumento investigativo con la necessaria tutela della dignità della persona, secondo quanto prescritto dalle fonti costituzionali e sovranazionali, perseguendo la protezione tendenzialmente assoluta di un nucleo intangibile della vita privata dalla mano segreta dell'Autorità .

E ciò perchè ogni consociato pone una legitimate expectation sulla sua riservatezza che è direttamente ed indissolubilmente legata allo sviluppo della propria personalità e che impedirebbe qualsiasi bilanciamento di tale rilevante prerogativa con le pur importanti esigenze di tutela della collettività.

L. ANNUNZIATA, Trojan di Stato: l'intervento delle Sezioni Unite non risolve le problematiche applicative connesse alla natura del captatore informatico, in Parola alla difesa, 2016. S. ATERNO, Mezzi atipici di ricerca della prova e strumenti investigativi informatici: l'acquisizione occulta da remoto, Memberbook Iisfa, 2011.

S. ATERNO, F. CAJANI, G. COSTABILE, M. MATTIUCCI, G. MAZZARACO, in Manuale di Computer Forensics, 2012.

F. CAJANI, Odissea del captatore informatico, in Cass. pen., 2017, 1.

L. FILIPPI, Le nuove norme su intercettazioni e tabulati (d. lgs. 29 dicembre 2017, n.216 e l. 20 novembre 2017, n.167), Ospedaletto, 2018.

F. NICOLICCHIA, I limiti fissati dalla Corte costituzionale tedesca agli strumenti di controllo tecnologico occulto: spunti per una trasposizione nell'ordinamento italiano, in Archivio penale, 2017, n. 2.

G. ZICCARDI, Il captatore informatico nella “riforma Orlando”: alcune riflessioni informatico-giuridiche, in Archivio penale, Speciale riforme, 2018.